一、适用范围

仅限于web端的身份验证，和app端使用的jwt验证是不同的。

二、SESSION

为什么存在SESSION

首先，HTTP是无状态的，每次请求相互独立，这样就会造成，你不认识我，我也不认识你。

但显然这样是不能满足需求的，对于用户体系的网址，我们需要知道每次请求的用户是谁，这样才可以在这个基础上对用户的数据进行操作。

那么，如果服务器保存一个用户标识，每次客户端请求数据都带着标识，这个服务器就知道是哪个用户进行的操作，这也就是为什么存在SESSION

SESSION的生成和校验

1. 客户端第一次访问服务器，会生成唯一的sesssion_id ，这个session会保存在服务器，服务器知道了session_id对应的用户身份。客户端把session_id保存在本地的cookie中

2. 客户端再次请求服务器，会在header中带着对应的session_id ，服务器在接受到session_id之后，就会找到用户的身份

文章来源: coderfix.blog.csdn.net，作者：小雨青年，版权归原作者所有，如需转载，请联系作者。

原文链接：coderfix.blog.csdn.net/article/details/107359519